Derzeit bekommen wir viele Anfragen von unseren Kunden die WhatsApp in der Kundenkommunikation aber insbesondere auch für Bewerbungen nutzen wollen und, zumindest gefühlt, den Marktbegleitern hinterherhängen wenn sie den Kommunikationskanal nicht anbieten.
Was also tun?
Unser Ansatz sind pragmatische Lösungen und kein pauschales „das geht nicht wegen Datenschutz“.
Nachfolgend einmal ein allgemeiner Lösungsvorschlag für den Einsatz von WhatsApp im Unternehmen, der je nach Anwendungsfall zu konkretisieren ist.
WhatsApp im Unternehmenseinsatz
1) Ausgangspunkt: Warum die App‑Varianten datenschutzrechtlich scheitern
Dass WhatsApp im Kundendialog attraktiv ist, steht (aus Datenschutzsicht leider) außer Frage. Für Unternehmen bedeutet das aber auch: Fast jede Verarbeitung der App fällt unter den Anwendungsbereich der DSGVO – und hier beginnen die Probleme mit der normalen WhatsApp‑App und auch mit der kostenlosen WhatsApp Business App. Beide greifen typischerweise auf das lokale Adressbuch zu und gleichen Kontaktdaten ab (WhatsApp beschreibt das als Hash‑Abgleich, es bleibt aber eine Verarbeitung personenbezogener Daten von „Nicht‑UserInnen“). Für diese Verarbeitung fehlt den Unternehmen regelmäßig eine ausreichende Rechtsgrundlage, zumal Betroffene weder informiert werden noch ein Opt‑in erteilt haben.
Hinzu kommen Governance‑Lücken (Einzelgeräte, fehlende Rollen-/Löschkonzepte, Nachweisprobleme), die sich mit App‑Nutzung kaum sauber schließen lassen.
2) Der belastbare Weg: die WhatsApp Business Platform (Cloud API)
Die WhatsApp Business Platform stellt eine technische Schnittstelle (API) bereit, über die Unternehmen WhatsApp datenschutzkonform in eigene Systeme (oder eine professionelle Messaging‑Plattform) integrieren.
Wichtig: Die früher selbst zu betreibende On‑Premises API wird durch Meta offiziell zum 23. Oktober 2025 abgekündigt. Die Zukunft heißt Cloud API (Meta‑gehostet). Wer heute startet oder migriert, plant deshalb direkt Cloud‑basiert.
Aus Security‑Sicht dokumentiert Meta für die Cloud‑API u. a. SOC 2‑Kontrollen und beschreibt abgesicherte Betriebsabläufe – ein klarer Vorteil gegenüber dezentraler App‑Nutzung auf Endgeräten.
Auch für Drittlandübermittlungen gibt es eine tragfähige Basis: WhatsApp LLC ist nach dem EU‑US Data Privacy Framework (DPF) zertifiziert. Das DPF kann – je nach Setup – eine zulässige Transfergrundlage darstellen; eine Transfer‑Impact‑Assessment (TIA) im Einzelfall bleibt Best Practice.
3) Rechtlicher Rahmen: Rechtsgrundlagen, Opt‑in, Vorlagen & 24‑Stunden‑Fenster
Rechtsgrundlagen (Art. 6 DSGVO):
- Reaktive Servicekommunikation auf Anfrage lässt sich häufig über Vertrag/Anbahnung (Art. 6 Abs. 1 b DSGVO) tragen.
- Proaktive/werbliche Nachrichten verlangen regelmäßig eine Einwilligung (Art. 6 Abs. 1 a DSGVO)und die wettbewerbsrechtliche Zulässigkeit nach § 7 UWG; Messenger‑Direktnachrichten gelten als „elektronische Post“.
Plattform‑Regeln (Meta):
- Unternehmen dürfen innerhalb eines 24‑Stunden‑Servicefensters frei auf eingehende Kundennachrichten antworten.
- Außerhalb dieses Fensters sind ausschließlich vorab genehmigte Nachrichtenvorlagen (Message Templates) zulässig – und meist kostenpflichtig.
- Opt‑in ist Pflicht: Unternehmen müssen Opt‑ins rechtskonform einholen und Opt‑outs respektieren.
Marketing‑Templates:
Vorlagen werden zentral verwaltet und kategorisiert; ohne Freigabe keine Zustellung. Das gibt Compliance‑Teams einen wirksamen Kontrollpunkt für Inhalte und Zwecke.
4) „Freiwilligkeit“ heißt: Nie Zwang zu WhatsApp – Alternativen sind Pflicht
Einwilligungen müssen freiwillig sein. Das ist nicht der Fall, wenn KundInnen de facto gezwungen werden, ausschließlich über WhatsApp mit dem Unternehmen zu kommunizieren („Kopplung“). Die Leitlinien des Europäischen Datenschutzausschusses (EDPB) betonen diese Freiwilligkeit ausdrücklich. Deshalb braucht es gleichwertige Alternativen (E‑Mail, Telefon, Web‑Formular, ggf. Vor‑Ort). Dies gilt insbesondere bei Recruitingkampagnen.
Interessanterweise verlangt WhatsApp selbst für die Business‑Plattform „prompte, klare und direkte Eskalationspfade“ – ausdrücklich genannt werden In‑Chat‑Hand‑over an Menschen, Telefonnummer, E‑Mail, Web‑Support oder Vor‑Ort‑Kontakt. Das bestätigt, dass exklusive WhatsApp‑Kanäle nicht im Sinne der Plattform sind.
Dies sollte auch bei QR-Codes etc. berücksichtigt werden, die nicht direkt in den WhatsApp-Kanal sondern auf eine Landingpage mit weiteren Alternativen Kanälen zur Auswahl verweisen sollten.
5) Rollen & Verträge: Wer ist Verantwortlicher, wer Auftragsverarbeiter?
Im Regelfall bleibt Ihr Unternehmen Verantwortlicher für die Kundenkommunikation via WhatsApp (Zweck-/Mittelbestimmung). Die Cloud‑API wird als Dienst von Meta gehostet; je nach Architektur treten Meta/WhatsApp sowie ggf. ein Business‑Solution‑Provider (BSP) als (Unter‑)Auftragsverarbeiter auf. Entsprechend brauchen Sie einen Auftragsverarbeitungsvertrag (Art. 28 DSGVO) – mit Ihrem BSP und (je nach Vertragskette) mit WhatsApp/Meta auf Basis der bereitgestellten Data Processing Terms. Ergänzend sind die Hosting‑Terms für die Cloud‑API einschlägig.
Praxisfolgen:
- Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) anpassen (Zwecke, Kategorien, Empfänger, Drittlandtransfer).
- DSFA‑Pflicht (Art. 35 DSGVO) prüfen, etwa bei hohem Volumen, Profiling oder besonderen Kategorien.
6) Inhaltliche Schranken: besondere Daten, Telemedizin & Co.
Die Business‑Policy verbietet bzw. beschränkt sensible Inhalte und setzt klare Leitplanken (z. B. kein Telemedizin‑Einsatz, wenn höhere Regulierungsanforderungen nicht erfüllt werden). Unabhängig davon sollten besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) über Messenger grundsätzlich vermieden oder nur bei strenger Erforderlichkeit und mit ausdrücklicher Einwilligung verarbeitet werden.
7) Umsetzung in der Praxis – so sieht ein DSGVO‑festes Setup aus
a) Betriebsmodell festlegen
Setzen Sie auf die WhatsApp Business Cloud API und integrieren Sie diese in eine zentrale Inbox/CRM‑Lösung. Damit bündeln Sie Zugriffe, definieren Rollen, regeln Aufbewahrung/Löschung und belegen Opt‑ins revisionssicher – alles, was mit App‑Nutzung kaum zu leisten ist.
b) Anbieterwahl (BSP) & Verträge
BSP im DACH‑Markt werben explizit mit DSGVO‑konformer API‑Nutzung. Hierbei handelt es sich leider sehr oft um reine Marketingversprechen. Die nachweisbare DSGVO konforme Umsetzung und Prüfung der Dienstleister bleibt in Ihrer Verantwortung.
Prüfen Sie: AV‑Vertrag, Hosting‑Standorte, TOM, Logging, Exportfunktionen und Opt‑in‑Mechanismen.
c) Opt‑in/Opt‑out & Vorlagensteuerung
- Holen Sie granulare Opt‑ins für die jeweiligen Zwecke ein (Service‑Updates, Marketing, 2FA etc.).
- Dokumentieren Sie Einwilligungen, Widerrufe und den Zeitpunkt.
- Nutzen Sie außerhalb der 24 Stunden freigegebene Templates (Marketing/Utility/Authentication) – ohne Freigabe keine Zustellung.
d) Alternativen sichtbar machen (Freiwilligkeit)
Bieten Sie gleichwertige Kontaktwege (E‑Mail, Telefon, Web‑Formular) prominent an – in Signaturen, auf Kontakt‑/Supportseiten, in jeder WhatsApp‑Begrüßung. Das entspricht sowohl DSGVO‑Freiwilligkeit als auch WhatsApp‑Policy (Eskalationspfade).
e) Lösch- und Aufbewahrungskonzept
Definieren Sie Fristen (z. B. Service‑Chats X Monate; Marketing‑Opt‑ins bis Widerruf zuzüglich Nachweisfrist), automatisieren Sie Löschläufe und ermöglichen Sie Datenexport (Art. 15/20 DSGVO).
f) Sicherheit & Nachweise
Nutzen Sie zentrale Inbox‑Rollen, 2FA, Protokollierung, Prüfpfade. Die Cloud‑API‑Compliance (z. B. SOC 2) schafft technische Basis, ersetzt aber nicht Ihr internes Sicherheits‑ und Berechtigungskonzept.
8) Was ändert sich 2025? (Migrations- und Zukunftssicherheit)
Spätestens mit dem Sunset der On‑Premises API am 23. Oktober 2025 wird die Cloud‑API zum Standard. Wer noch On‑Prem nutzt, sollte Migration, Test und Datenschutz‑Folgenabschätzung jetzt planen – u. a. weil neue Funktionen Cloud‑only sind.
9) Häufige Missverständnisse bei WhatsApp im Unternehmen – kurz geklärt
- „Mit der WhatsApp Business App geht’s doch auch.“
Technisch ja, rechtlich nein: Adressbuch‑/Metadatenverarbeitung, fehlende Nachweisführung und Governance sind die Showstopper. Deshalb: nur Business API in kontrollierter Umgebung. - „Messenger‑Werbung ohne Opt‑in müsste gehen, ist ja kein E‑Mail.“
Falsch. Messenger‑DMs sind „elektronische Post“ i. S. d. § 7 UWG – ohne vorherige Einwilligung unzulässig. - „Wir verlangen WhatsApp exklusiv – ist bequemer.“
Verstößt gegen die Freiwilligkeit der Einwilligung und die WhatsApp‑Policy (Eskalationspfade). Alternativen sind zwingend.
Fazit zu WhatsApp im Unternehmenseinsatz
Wer WhatsApp rechtssicher im Unternehmen einsetzen will, kommt nicht um die WhatsApp Business API (Cloud API) herum – betrieben über einen professionellen Anbieter oder eigenintegriert, unter klaren Opt‑in‑Regeln, Template‑Steuerung, nachvollziehbaren Lösch‑/Nachweisprozessen und echten Alternativen für Betroffene.
Das ist nicht nur DSGVO‑konform, sondern entspricht auch den Plattformregeln von WhatsApp.
Anbieter zeigen in ihren Leitfäden und Lösungen, wie das in der Praxis gelingt – die Verantwortung für Rechtsgrundlagen, Transparenz und Freiwilligkeit bleibt jedoch bei Ihnen.
Fragen Sie nach DSGVO Dokumentationen wie dem VVT oder dem Nachweis der Art 5. Anforderungen, idealerweise auf Basis des SDM3, sowie nach der DSFA.